Un sistema de gestión de seguridad de la información es la piedra angular del estándar ISO 27001. El marco está diseñado para proporcionar orientación en la construcción, evaluación, mantenimiento y mejora de un SGSI seguro.
A continuación, desglosaremos qué es un SGSI y explicaremos cómo construir uno que cumpla con los requisitos del estándar internacional ISO 27001.
¿Qué es un Sistema de Gestión de Seguridad de la Información? (SGSI)
Si los activos de información de una organización son sus joyas de la corona, el SGSI es la bóveda. Son las personas, sistemas, tecnología, procesos y políticas de seguridad de la información que se unen para proteger los datos sensibles en toda la organización.
Pero un SGSI es más que solo el hardware y software que usa para mantener la información segura: también es un conjunto de principios que guían y gobiernan cómo usted:
- Usa la información
- Almacena y recupera datos
- Evalúa y trata riesgos
- Mejora continuamente la seguridad de los datos
El proceso de construir un SGSI le ayuda a:
- Identificar las partes interesadas clave y sus requisitos de seguridad de la información
- Establecer expectativas claras y responsabilidades en torno a la seguridad de la información en toda la organización
- Identificar amenazas a los activos de información
- Definir e implementar controles para mitigar vulnerabilidades
- Monitorear y medir el rendimiento de los controles de seguridad de la información
- Mejorar continuamente el SGSI
¿Cuáles son los componentes de un SGSI?
Un SGSI abarca las cuatro Ps:
- Personas
- Políticas y procesos
- Productos y tecnologías
- Socios y proveedores externos
En la práctica, un SGSI incluye todo, desde procesos de Recursos Humanos, como realizar verificaciones de antecedentes, hasta cifrado de datos y prácticas de desarrollo seguro, planificación de la continuidad del negocio y gestión de riesgos de proveedores. Incluye todo lo que una organización hace para identificar y gestionar los riesgos de seguridad de la información.
Los beneficios de un SGSI conforme superan la certificación ISO 27001. Puede ayudar a mejorar la eficiencia empresarial, identificar redundancias y reducir costos, y establecer prácticas de seguridad escalables.
Cómo construir un SGSI que cumpla con los requisitos de ISO/IEC 27001:2013
El estándar de seguridad de la información ISO 27001 define lo que las organizaciones deben hacer para construir y mantener un SGSI conforme.
- Establezca el alcance del SGSI. No toda la información caerá dentro del alcance de su SGSI. Según la cláusula 4.3, las organizaciones deben primero definir qué activos de información necesitan ser protegidos.
- Complete una evaluación de riesgos. A continuación, deberá identificar vulnerabilidades para cada activo de información. Una evaluación de riesgos le ayudará a identificar amenazas específicas para que pueda crear un plan para mitigarlas.
- Crear un plan de tratamiento de riesgos. Una vez identificados los riesgos, puede decidir qué hacer con ellos. Dependiendo del apetito de riesgo de su organización, puede aceptar, tratar, evitar o transferir el riesgo.
- Diseñar e implementar controles de seguridad. El Anexo A describe grupos de controles de seguridad para ayudar a las organizaciones a decidir qué controles utilizar. ISO 27002 proporciona información más detallada sobre cada control, incluyendo cómo implementarlo.
- Realice auditorías internas periódicas. Una vez que haya construido su SGSI, debe monitorear su eficacia con auditorías internas periódicas. Los resultados de estas auditorías internas le ayudarán a mejorar su SGSI y asegurarse de que continúe cumpliendo con las necesidades de su organización a lo largo del tiempo.
- Defina un proceso para la mejora continua. Típicamente, la gerencia revisa los resultados de cada auditoría interna para discutir posibles mejoras en el SGSI.